A Georgiai Műszaki Egyetem (Georgia Tech) kutatói megmutatták, hogyan manipulálhatja egy támadó az energiapiacot egy nagy teljesítményű IoT-eszközökből épített botnettel. Mint a SecurityWeek beszámolója írja, ez csak részben újdonság. Az közismert volt, hogy routerekből, kamerákból és DVR-ekből (Digital Video Recorder) lehet hatékony botnetet építeni, de a Princetoni Egyetem kutatói már pár éve arra figyelmeztettek, hogy az energiahálózatot működésében olyan botnetekkel is komoly zavarokat lehet okozni, amiket internethez csatlakoztatott háztartási eszközökből, légkondicionálókból, vízmelegítőkből, kazánokból építenek.

A Princeton kutatói által leírt módszerrel (a 2018-ban publikált tanulmány BlackIoT vagy MadIoT néven emlegeti) többek között áramkimaradásokat lehet okozni a kompromittált nagy teljesítményű készülékek egyszerre történő ki-be kapcsolgatásával. A Georgia Tech kutatói továbbgondolták a lehetőséget: az IoT Skimmernek nevezett módszerrel a támadók a nagy teljesítményű háztartási fogyasztókból épített botnetekkel az elektromos piacot befolyásolhatják pénzügyi haszonszerzés vagy károkozás céljából. A módszert valós körülmények között értelemszerűen nem tudták tesztelni, de a New York-i és a kaliforniai piacokról rendelkezésre álló adatokkal jól tudták modellezni a hatást.

A támadás arra épül, hogy energiapiacon az áramszolgáltatók mindig adnak-vesznek a valós idejű piacon is energiát, hogy kiegyensúlyozzák a pillanatnyi valós villamosenergia-igény és az előre lekötött mennyiség közötti különbséget. A támadók ezt a mechanizmust tudják befolyásolni azzal, hogy a botnetek segítségével olyan eseményeket generálnak, melyek hatására az árak csökkennek vagy emelkednek. Innentől pedig egyszerű a dolguk: amikor az árakat lenyomták, vásárolnak, amikor meg emelkednek, eladnak.

Vannak piacmanipulálásra utaló jelek

A kutatók azért is vizsgálták ezt a lehetőséget, mert a FERC (az USA energiapiacot felügyelő szerve) egy korábbi jelentése szerint 2018-ban 16 olyan eset is történt, ami felvetette az árampiac manipulációjának gyanúját, de 14 esetben nem találtak erre egyértelmű bizonyítékot.

Az ilyen eseteknél egyébként a lehetséges támadókat nem feltétlenül a profi kiberbűnözők körében kell keresni, vélik a kutatók. Akár egy piaci szereplő is végrehajthat ilyen támadásokat a nyereség kimaxolása érdekében. De lehetnek az ilyen jellegű támadások mögött állami szereplők is, hogy egy másik állam energiapiacain zavart okozzanak. Ehhez felhasználhatnak nyilvánosan is elérhető információkat, például hogy a valós idejű piacokon hogyan licitálnak a piaci szereplők.

A kutatók szerint a támadás hatékonysága egyenesen arányos az ahhoz használt botnet kiterjedtségével. Ha 50 ezer eszközt sikerül egy ilyen botnetbe kapcsolni, azzal már jelentősen befolyásolhatók az árak. Összehasonlításképpen: a hírhedt Mirai botnetben 600 ezer IoT-eszközt kompromittáltak, de azok többsége kis teljesítményű volt.

Viszont csak az USA-ban mintegy 30 millió okostermosztátot használnak, amin keresztül a nagy energiafelhasználású fűtőberendezések, légkondicionálók manipulálhatók. A kutatók szerint a jövőben nagy valószínűséggel egyre több olyan botnet épül majd, amely ezeket a lehetőségeket használja.

A siker kulcsa a hatékony rejtőzködés

Ebben az esetben a sikeres támadásokhoz mindennél fontosabb, hogy a botnet minél tovább maradjon a radar alatt. Úgy kell befolyásolnia az energiafogyasztást, hogy az se az energiapiac szereplőinek, se maguknak a fogyasztóknak ne tűnjön fel. Ehhez a támadónak csak arra kell figyelnie, hogy az eltérés mindig megmaradjon egy bizonyos tűréshatáron belül. A szolgáltatók ugyanis mindig számolnak az ún. terhelés-előrejelzési hibával, amely a becsült és a tényleges terhelés közötti különbség. Ha a támadás által generált változások ezen hibahatáron belül marad, az már módosítja az áram piaci árát, de kicsi a valószínűsége, hogy az érintett piaci szereplők kiszúrják.

A kutatók egyébként a fogyasztókra gyakorolt hatást is kiszámították. Szerintük ha a botnet havonta 8 napon keresztül átlagosan 3 órára bekapcsol egy légkondit, az a villanyszámlában kb. 7 százalék növekedést jelent (az USA-ban), ami a fogyasztók elsöprő többségének fel sem tűnik.

A támadások szofisztikáltabbá – és kevésbé észrevehetővé tételéhez – számtalan lehetőség van: például a ki-be kapcsolások időzítése. Ha pedig egy piaci szereplő áll az ilyen támadások mögött, akár azt is elérhetik, hogy piacmanipulálási gyanúba keverje a konkurenseit. A kutatók számításai szerint éves szinten akár több százmillió dollár kárt is lehet okozni úgy, hogy a támadásra nem derül fény.

A kutatók két megoldást javasolnak. Mivel az IoT-s eszközök egyedi biztonsági megoldásai még tökéletlenek, a hatékony védekezést legfőképpen egy valós idejű monitoring adatbázis jelenthetné, amely a fogyasztásra vonatkozó adatokat pontosan tárolja a potenciálisan veszélyeztetett eszközökön. Az adatok elemzésével kiszűrhetők lennének a gyanús tevékenységek. A másik javaslat az, hogy a támadáshoz felhasználható energiapiaci adatokat szigorúan csak a piaci szereplőknek kellene elérhetővé tenni, akár némi késleltetéssel.